一、AD域、LDAP简介

在行云管家私有部署正式使用后,您可以通过配置您的AD域或LDAP服务器,来开启当前部署的行云管家私有部署的AD域或LDAP功能。

二、配置AD域、LDAP

在行云管家管理控制台里,您可以配置一个或多个AD域/LDAP;

2.1、登录行云管家管理控制台

请登录进入行云管家管理控制台;

2.2、进入配置界面

在“团队管理”菜单下找到“基础设置”下的“用户登录认证方式”页面,点击“认证服务器”框里的“立即配置”按钮即可开始配置;

2.3、设置AD域/LDAP信息

2.3.1、设置AD域信息(LDAP请参照第2.3.2条)

(a)服务器地址:请输入AD域的服务器IP地址;

(b)SSL:如果您AD域开启了SSL,请在这里也选择开启,一般AD域默认没有开SSL;

(c)服务端口:请输入AD域的服务端口,默认是389

(d)Base DN:如图,请填写DC=cloudbility,DC=cn

(e)部门过滤:如图,右键一个组织单元,查看属性,可以看到objectClass一般都有organizationalUnit这个值;

建议直接用默认objectClass=organizationalUnit

(f)用户过滤:如图,右键一个用户,查看属性,可以看到objectClass一般都有person这个值;

建议填写objectClass=(&(objectCategory=person)(objectClass=user))

(g)管理员账号:一般是administrator@uniic.com 或 sv003@bbc.loc这种格式;

(h)管理员密码:请填写密码;

2.3.2、设置LDAP信息(AD域请参照第2.3.1条)

(a)服务器地址:请输入LDAP的服务器IP地址;

(b)SSL:如果您LDAP开启了SSL,请在这里也选择开启,一般AD域默认没有开SSL;

(c)服务端口:请输入LDAP的服务端口,默认是389

(d)Base DN:如图,请参照您LDAP原本的基层DN地址进行填写,如图请填写dc=gzapp1,dc=cmcc

(e)部门过滤:如图,查看组织单元的属性,可以看到objectClass=organizationalUnit

(f)用户过滤:如图,查看用户的属性,可以看到objectClass=cmcc-Account或top

(g)管理员账号:如图,参照“使用者 DN”,请填写cn=Administrator,dc=gzapp1,dc=cmcc;

(h)管理员密码:请填写密码;

2.4、设置属性映射关系

映射属性一般指的是右键“用户”时“属性”里对应的“属性”,如图:

(a) 账号:一般默认即可,选择userPrincipalName或sAMAccountName;

(b) 昵称:一般默认即可,选择cn或name、displayName;

(c) 性别、手机、邮箱:如无特别需要一般默认选择不同步;

(d)为对应账户添加后缀以确保账户唯一性(注意:勾选后填写的后缀确认后是不能修改的!)

当您部署多个认证服务时,如果多个认证服务器中的账户出现账号相同的情况,系统将通过后缀来确保向对应的认证服务器发送认证信息;

注意:如果设置后缀,请以“账号”加“后缀”作为用户名登录行云管家,例如设置后缀为@bill后,实际用户名是zhangsan@cloud.com@bill

2.5、AD域/LDAP配置完成

点击“完成”后,如图,到此AD域/LDAP配置完成。接下来我们就可以对该AD域/LDAP进行“基本信息”编辑、“用户管理”、“AD域/LDAP”删除,以及添加其他的“AD域/LDAP”(可导入多个AD域/LDAP);

三、AD域/LDAP-基本信息

3.1、基本信息

点击“基本信息”;

3.2、备用AD域/LDAP服务器

您除了可以编辑如图“基本信息”下的所有选项,在您的AD域/LDAP服务器有多IP的前提下,还可以在“备用服务器”里填写您当前AD域/LDAP服务器的其他IP;

3.3、用户属性映射

在“基本信息”里可以管理“用户属性映射”;

四、AD域/LDAP-用户管理

在“用户管理”里可以选择“导入用户”、“映射用户管理”、“定时同步设置”;

4.1、导入用户

点击“用户管理”里的“导入用户”后,选择要导入的用户;

给刚导入的用户指定“角色”,指定后该用户将拥有相关角色的权限;

点击“完成”后可以看到这里会显示已导入的用户数;

4.2、映射用户管理

点击“用户管理”里的“映射用户管理”;

(1)同步已导入到行云管家的AD域/LDAP用户信息;

同步后,行云管家用户的昵称、手机号、邮箱等将会被AD域/LDAP中的相关信息所覆盖;

(2)新增映射用户;

对需要新增映射的行云管家用户,点击“设置”,在AD域/LDAP的用户里选择需要映射的用户即可。

4.3、定时同步设置

点击“用户管理”里的“定时同步设置”,可以选择在AD域/LDAP的用户发生变化时,是否需要通过定时同步来同步AD域/LDAP中的最新用户信息;

五、AD域/LDAP-删除

删除后,已映射用户将会在系统中保留,您可以手动删除用户或为留存用户重置本地密码以使账号生效;

六、延伸阅读

6.1、门户登录使用AD域账号如何不带后缀登录

(1)点击管理控制台AD域界面“基本信息”里的“用户属性映射”,把“账号”改为sAMAccountName,“昵称”改为cn

(2)点击“映射用户管理”;

(3)勾选要不带后缀登录的用户,点击“同步”,设置完成;

(4)点击“用户管理”,可以看到刚同步的用户,当前登录账号就是不带后缀的格式,可以通过此账号直接登录;